plik pdf
Transkrypt
plik pdf
ISO 27001 w Banku Spółdzielczym – - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda • ISO 27001 – zalety i wady • Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej • Jak i kiedy wdraŜać? • Trudne obszary i pułapki • Podsumowanie Kim jesteśmy • 10 lat na rynku polskim • Zintegrowany system zarządzania: – ISO 9001 – ISO 27001 – AQAP (dla projektów NATO) • NiezaleŜny audytor i konsultant w zakresie bezpieczeństwa informacji • Sektor bankowy: ponad 60% przychodów ISO 27001 • PN-ISO/IEC 27001:2007 – Zastąpiła PN-I-07799-2:2005 – Wywodzi się z BS 7799 • Dlaczego to działa? – Początki w armii brytyjskiej – Prostota i efektywność = przewaga biznesowa • Brak dodatkowych kosztów – To biznes rządzi bezpieczeństwem – Bezpieczeństwo nie jest celem samym w sobie – Podejście procesowe Model PDCA Planuj (Plan) Ustanowienie ISMS Wykonaj (Do) Działaj (Act) WdroŜenie / eskploatacja Utrzymanie oraz doskonalenie Sprawdzaj (Check) Monitorowanie / przegląd Co definiuje norma? • System Zarządzania Bezpieczeństwem Informacji (ang. ISMS) – – – – – – – Zarządzanie ryzykiem Bezpieczeństwo osobowe Bezpieczeństwo fizyczne Zarządzanie incydentami i ciągłością działania Bezpieczeństwo aplikacyjne i systemowe Bezpieczeństwo we współpracy ze stroną trzecią i outsourcing NiezaleŜne przeglądy i kontrolę nad systemem ISO 27005 PN-ISO/IEC 17799:2006 PN-ISO/IEC 27001:2007 Analiza ryzyka Zarządzanie bezpieczeństwem Audyt Mapa ryzyka Polityka Bezpieczeństwa Plan postępowania z ryzykiem Zabezpieczenia Proceudury Zabezpieczenia Ciągłość działania BS 25999 Outsourcing i BCM • BCM – zarządzania ciągłością działania – – – – Budowanie i zarządzania ciągłością działania Transfer i unikanie ryzyka Testowanie procedur i procesów Szkolenia personelu • Outsourcing – Analiza ryzyka pokazuje centra kosztowe – Zwrot z inwestycji – Jak spełnić wymogi GINB w zakresie ciągłości i outsourcingu Jak źle wdroŜyć system bezpieczeństwa? • • • • • Stworzyć wiele dokumentów Stworzyć wiele skomplikowanych procedur Stworzyć system aby tylko uzyskać certyfikat Wybrać błędną metodykę zarządzania ryzykiem Kupić wiele róŜnych zabezpieczeń bez długofalowej strategii Jak wdroŜyć certyfikowany system? 1. Opracować deklarację stosowania a) Dobrze dobrany zakres certyfikacji 2. 3. 4. 5. 6. 7. Identyfikacja kluczowych graczy i procesów Analiza ryzyka i identyfikacja potrzeb Stworzenie dokumentacji WdroŜenie zabezpieczeń Audyt wewnętrzny Audyt certyfikacyjny Deklaracja stosowania Polityka Bezpieczeństwa Informacji Procedury Ochrona danych osobowych Polityka bezpieczeństwa systemów IT Polityka systemu IT Polityka systemu IT Polityka systemu IT Procedury Procedury Procedury Deklaracja stosowania Polityka Bezpieczeństwa Informacji Ochrona danych osobowych Polityka bezpieczeństwa systemów IT Polityka systemu IT Polityka systemu IT Procedury Polityka systemu IT Korzyści dla Banku (1/3) • Pomaga podczas inspekcji GINB’u w zakresie bezpieczeństwa IT i informacji – Rekomendacja D • Ujednolica sposób zarządzania informacją oraz klasyfikacji aktywów • Uporządkowana struktura zarządzania bezpieczeństwem Korzyści dla Banku (2/3) • Rozwiązuje kwestie outsourcingu i stron trzecich • Opisuje procesy zarządzania ciągłością działania • Zarządzanie ryzykiem – BASEL II Korzyści dla Banku (3/3) • Zgodność z wymogami prawnymi – Ustawa o ochronie danych osobowych – Ustawa o obrocie instrumentami finansowymi • Uporządkowana dokumentacja polityki bezpieczeństwa • Zarządzanie incydentami Bezpieczeństwo aplikacyjne • Do 90% awarii wynika z błędów lub podatności w oprogramowaniu • Krytyczny obszar w bezpieczeństwie systemów IT • RóŜnorodność wykorzystywanych aplikacji utrudnia zarządzanie bezpieczeństwem AVET RMM RMM - korzenie • Metodyka powstała na bazie projektów z zakresu bezpieczeństwa aplikacyjnego – – – – – Selekcja i integracja zabezpieczeń Praktyki bezpiecznego programowania Testy penetracyjne metodą white-box (ew. black-box) Audyt kodu źródłowego Audyt środowiska i samej aplikacji • ZałoŜenia projektów – Muszą dostarczyć korzyści biznesowych a nie arkusz w Excellu – Muszą się zmieścić w czasie i budŜecie projektu – Muszą doprowadzić do szybkiej identyfikacji i usunięcia powaŜnych problemów – Muszą przekazać wiedzę jak w przyszłości nie popełniać tych samych błędów Cele • Identyfikacja zagroŜeń (poprzez ich modelowanie) – Zrozum zagroŜenia i konsekwencje – Kategoryzacja – Demonstracja problemów • Eliminacja problemów i podatności – Historia ryzyka – Śledzenie zmian – Lista priorytetów • Zarządzanie jakością i procesem Q&A – Najlepsze praktyki – Wzory ataków Jak efektywnie ocenić zabezpieczenia techniczne? Proces: Testy penetracyjne AVET SecureCode! Attack Patterns – gotowa baza Zarządzanie ryzykiem Zarządzanie standardami wraz z wytycznymi Śledzenie problemów i podatności RóŜne metodyki błędów Pomoc w obszarze testowania Szybka identyfikacja zagroŜeń SDL Korzyści ze stosowania SDL • ObniŜenie kosztów eksploatacji • Zmniejszenie liczby incydentów • Nowoczesne zarządzanie bezpieczeństwem • Podejście oparte o zarządzanie ryzykiem – Spełniamy wymogi GINB – Zarządzanie Ryzykiem Operacyjnym Jak realizować audyty i inspekcje • • • • Wywiady Przegląd dokumentacji Przegląd zabezpieczeń Co z zabezpieczeniami technicznymi? Podsumowanie • System oparty o ISO 27001 moŜe pomóc w efektywnym zarządzaniu bezpieczeństwem • ISO 27001 to zestaw najlepszych praktyk • To od nas zaleŜy jaki kształt przybierze system bezpieczeństwa • Odpowiednie wdroŜenie systemu pomaga podczas inspekcji GINBu – wszystkie procesy są opisane i sprawowany jest nad nimi nadzór Dziękuję za uwagę • Pytania? [email protected]